搜索
SANGFOR_ACSG11.2代理培训11.2代理功能价值为了弥补11.0不支持代理的缺陷,针对老版本的一些缺陷和不足,11.2对代理功能进行了重新设计,提供全新的代理方案,满足客户代理部署需求,同时合入ICAP对接功能为金融行业客户防泄密解决方案提供支撑。培训内容培训目标代理功能①掌握SG11.2支持的代理类型②了解金融行业常用的icap服务器以及各服务器相关的功能③掌握http代理+icap的使用,掌握ssl代理和ssl中间人使用④掌握二级代理使用⑤掌握PAC脚本使用⑥掌握host使用forward功能①掌握forward使用场景及其配置1代理功能CONTENTS代理类型icap服务器HTTP代理+icap使用二级代理5PAC脚本12346host功能一、代理类型SG11.2支持HTTP代理、SOCK4代理、SOCK5代理、PAC脚本。注意:SG11.2没有上网加速功能,所以不支持HTTP透明代理,低版本有开启上网加速功能升级到SG11.2才会有代理模块。1、HTTP代理使用需求:客户公司有“客服部门”和“研发部门”,SG开启HTTP代理功能,现要求客服部门能通过AC显示代理上网,研发部门不能通过SG代理上网。如何实现?1.1配置(1)启用HTTP代理,并且配置代理端口(2)配置代理策略,配置客服部门允许走上网代理,配置研发部门不允许走上网代理可以选择代理上网具体IP代理策略设置完如下:(3)设置认证策略认证策略根据客户的实际需求设置,此处我们设置密码认证(4)PC设置上网代理1.2效果(1)客服部门打开网页弹出密码认证页面,输入账号密码认证成功可以上网。(2)研发部门打开网页弹出密码认证页面,输入账号密码认证后不能上网。1.3注意:SG开启HTTP代理,认证策略如果设置密码认证,默认终端弹出的密码认证页面是微软的认证页面,如果客户需要弹出ACWeb认证页面如何处理?此功能只对HTTP代理生效,SOCKS代理不生效1.4注意事项(1)启用代理服务,不配置代理策略;默认允许内网所有用户通过代理上网。(2)配置多条代理策略匹配顺序是从上往下匹配。二、ICAP协议ICAP是一种应用层协议,ICAP客户端传送请求数据到ICAP服务器做校验,常用于金融客户,常见的ICAP服务器有Macfee(杀毒),赛门铁克,websense(url过滤)。需求:某金融客户有自己的DLP服务器,现在要求客服部门上网数据都必须到DLP服务器做校验,防止数据泄密三、HTTP代理+ICAP使用1.1配置(1)配置启用HTTP代理服务,注意SOCK代理不支持和ICAP服务器结合使用(2)配置ICAP服务器(3)配置HTTP代理策略,ICAP服务器选择之前设置好的服务器。(4)根据客户需求设置认证策略,此处使用设备默认认证策略。(5)客户DLP服务器上实现做好过滤策略,此处以关键字过滤测试1.2效果(1)PC打开网页搜索关键字symantec_dlp_refuse_test会弹出拒绝页面。2、ssl代理SSL代理:内网访问https的数据经过SG,SG透传https的流量给ICAP服务器处理代理:AC透传https的流量给icap服务器处理3、ssl中间人SSL中间人:内网访问https的数据经过SG,SG解密https的流量发送给ICAP服务器处理。解密数据需要SG配置ssl内容识别策略。中间人:AC解密https的流量后给icap服务器处理、注意事项(1)一个ICAP服务器中,可以新增多台服务器,一般客户环境中多台服务器属于同一类型时这样使用,比如客户有多台DLP服务器用来做负载使用。此时AC会采用轮训机制来调度到不同的服务器。(2)一个代理服务器可以同时选择多个ICAP服务器组,一般客户环境中有多台不同类型的ICAP服务器这样使用,比如客户有DLP、Websence,AC在转发数据的时候,每个请求只能匹配一个ICAP组,不同的请求可以匹配不同的ICAP组。根据代理策略规则按照从上到下的顺序选择第一个满足条件的ICAP服务器组进行数据转发,如Get请求会匹配第一个支持Get的ICAP服务器组。四、二级代理1、二级代理使用需求:公司客服部门上网走代理上网,但是由于google网站国内被限制访问,所以现要求访问google时要走二级代理访问。配置(1)新增二级代理服务器(2)代理服务开启HTTP代理(3)新增HTTP代理策略(4)根据客户需求配置认证策略2、二级代理结合icap使用代理策略即配置了二级代理,又配置了ICAP,则数据先走ICAP校验再走二级代理五、PAC脚本需求:内网访问内网服务器不走代理,内网通过代理服务器上外网六、host使用由于显式代理的场景,DNS解析由设备进行,因此就衍生出了用户需要编辑设备HOSTS表的需求,以便于客户自定义HOSTS表注意:host文件只有设备自身上网的时候才会生效;如果PC做网关DNS指向设备,这个时候不生效七、代理支持的用户认证•2020/2/92路由模式代理多线路选路策略一、路由部署显示代理多线路选路1、代理策略指定了出口IP地址根据指定的IP地址,可以查到此IP属于哪条选路,进而找到选路对应的DNS,最终代理数据会根据代理策略绑定指定的线路出去。2、代理策略自动选择IPDNS选第一条线路的第一个,最终选择的出口线路由多线路负载路由决定,推荐多线路策略路由设置如下:假设客户有移动和电信两条线路,设备默认使用移动线路配置的DNS,默认大部分解析出来的是移动的地址,导致线路流量走向不均衡。•2020/2/93Forward一、ForwardForward:公司内部服务器发布在公网上,员工浏览器通过代理访问公司内部服务器地址,SG可以直接将收到的数据转发到内部服务器匹配了forward策略不会匹配代理策略2020/2/96ThankYou